在Microsoft的整合 SecOps 平台中發現具有威脅情報的敵人
在 SecOps) 平臺 (Microsoft 統一安全性作業中,使用威脅情報找出新式敵人並將其中性化。 不論您使用Microsoft的威脅情報或其他對 SecOps 組織很重要的來源,Microsoft Defender 入口網站中的威脅情報都會將識別網路攻擊者及其基礎結構所需的工具整合在一起。
Defender 入口網站中的威脅情報
出現新的網路安全性威脅和威脅執行者,以及威脅環境的持續演進,導致安全性作業中心 (SOC) 必須調查的威脅情報數量不斷增加。 此威脅情報採用許多形式,從特定入侵指標 (IOC) 到報告和分析,而且可能來自各種來源。 Microsoft在 Defender 入口網站中的整合 SecOps 平臺會將所有威脅情報合併在一個位置,讓 SOC 可以快速且準確地評估此情報,以做出明智的決策。 Microsoft在 Defender 入口網站中整合的 SecOps 平台會從下列來源提取威脅情報:
- Microsoft Defender 全面偵測回應 威脅分析報告
- Microsoft Defender 威脅情報 文章和數據集
- Microsoft Sentinel 威脅情報
Microsoft Defender 全面偵測回應 中的威脅分析
威脅分析是專家Microsoft安全性研究人員 Microsoft Defender 全面偵測回應產品內威脅情報解決方案。 其設計旨在幫助安全性小組在面對新興威脅時盡可能地有效率,例如:
- 作用中威脅行為者及其活動
- 熱門和新的攻擊技術
- 嚴重的弱點
- 常見的攻擊面
- 常見的惡意程式碼
威脅分析報表的分析師報告區段
每個報表都會提供追蹤威脅的分析,以及如何防禦該威脅的廣泛指引。 它也會納入來自您網路的數據,指出威脅是否作用中,以及您是否已備妥適用的保護。
如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的威脅分析。
Microsoft Defender 威脅情報
Microsoft Defender 威脅情報 (Defender TI) 可協助簡化安全性分析師分級、事件回應、威脅搜捕和弱點管理工作流程。 Defender TI 會匯總並擴充易用介面中的重要威脅資訊,讓使用者可以將 IOP 與相關文章、動作專案配置檔和弱點相互關聯。 Defender TI 也可讓分析師在其租使用者內與具有 Defender TI 授權的使用者共同作業,以進行調查。
您可以在 Defender 入口網站 的 [威脅情報 ] 導覽功能表中,於下列頁面中存取 Defender TI:
- Intel 設定檔 - 存取威脅執行者、工具和弱點配置檔的完整連結庫。
- Intel 總管 - 瀏覽威脅情報以取得相關的分析、成品和指標。
- Intel 專案 - 管理整個租用戶的安全性成品。
Defender 入口網站中的Defender TI Intel 總管 頁面
如需詳細資訊,請參閱什麼是 Microsoft Defender 威脅情報?。
威脅情報管理
Intel 管理是由 Microsoft Sentinel 所提供,並提供工具來更新、搜尋及建立威脅情報,並大規模管理它。
最常見的威脅情報形式是威脅指標或IOC。 威脅情報的另一個面向代表威脅執行者、其技術、策略和程式 (TTP) 、其基礎結構及其犧牲者。 Intel管理支援使用結構化威脅資訊表達式來管理所有這些 Facet (STIX) ,這是交換威脅情報的開放原始碼標準。
Intel 管理可讓您的威脅情報運作,同時使用下列擷取方法 Microsoft Sentinel 來源:
- 啟用各種威脅情報平臺的數據連接器,包括Microsoft自己的Defender TI,將威脅情報匯入 Microsoft Sentinel。
- 使用上傳 API 連線各種威脅情報平臺或自定義應用程式,將威脅情報連線到 Microsoft Sentinel。
- 個別建立威脅情報 ,或從 Intel 管理介面使用檔案匯入。
在 Intel 管理中新增 STIX 物件的範例
如需詳細資訊,請參閱瞭解 Microsoft Sentinel 中的威脅情報。